7.2 外部組織結構（MOA_OOA）

7.2.1　MOA_OOA.1 標識同外部機構相關的風險

7.2.1.1　管理保障控制組件控制

組織機構的信息和信息處理設施在商務過程中的風險包括外部方在準允存取之前應確定并適當的控制執行。（改為）：
組織機構的信息和信息處理設施在商務過程中的風險包括，確定所允許存取訪問的外部方并對其所進行的訪問操作進行控制。

7.2.1.2　管理保障控制組件注解

準許外部方存取組織機構的信息處理設施時，風險評估應確定所有特定控制的所有要求得到執行。對外部方相關的風險標識應考慮如下方面：
a) 外部方需要訪問的信息處理設施；
b) 外部方訪問信息和信息處理設施的訪問類型，例如：
1) 物理訪問，例如，辦公室、機房、檔案室等；
2) 邏輯訪問，例如，組織機構的數據庫、信息系統；
3) 組織機構通外部機構網絡的網絡連接，例如，專線、遠程訪問；
4) 訪問是在線還是離線；
c) 所涉及信息的價值和敏感性，以及它對業務運行的關鍵性；
d) 應有意的控制外部方存取某些控制信息；
e) 處理組織機構信息所涉及的外部方人員；
f) 如何使組織機構或個體職員在經授權后存取，授權的確認和需要再確認的時間；
g) 在外部方存儲，處理，交流，共享和交換信息時采取不同的控制方法；
h) 需要的情況下，外部方在存取沖突時，或輸入輸出錯誤時信息不可用；
i) 當信息安全事故發生時，處理信息安全事故的實踐和流程和潛在的損失，以及外部機構繼續訪問的條款；
j) 應重視與外部方相關的契約職責并通過法定調整需求；
k) 資金所產生的利潤可能影響資金的安排。
組織機構中關于外部方的數據庫的信息適當的控制執行之后才可以提供出來，一旦可行，就簽署合同，確定期限和連接條件或者存取控制和工作安排。一般來說，所有的安全要求都由與外部方的合作或與外部方的協議影響了內部控制之后所帶來的結果。
只有在對外部方進行適當的控制并執行后，才允許其訪問組織機構的的相關數據庫信息。一旦確定控制措施可行，就簽署合同，確定期限和連接條件或者進行存取控制和工作安排。一般說來，所有的安全要求都是在與外部方進行合作或協商后，產生影響到內部控制的結果。
應確保外部方明白其職責并接受在存取、處理、交流或管理組織機構的信息和信息處理設施時的責任。

7.2.2　MOA_OOA.2 處理同客戶相關的安全

7.2.2.1　管理保障控制組件控制

應在允許客戶訪問組織機構信息或資產前解決所有標識的安全要求。

7.2.2.2　管理保障控制組件注解

在允許客戶訪問組織機構的任何資產前應實現下列項（根據所給予的訪問類型和程度，不是所有項都適用)：
a) 資產保護，包括：
1) 保護組織機構資產的流程，包括信息、軟件以及已知脆弱性的管理；
2) 確定資產是否已經遭到破壞的流程，例如數據的丟失或修改；
3) 完整性；
4) 拷貝和披露信息的限制；
b) 所提供的對產品或服務的描述；
c) 消費者存取訪問的不同的原因，需求和利益；
d) 訪問控制策略，覆蓋：
1) 允許的訪問方式和使用控制之后使用唯一的標志符（用戶ID和口令）；
2) 用戶訪問和特權的授權過程；
3) 應聲明所有為被明確授權的存取是禁止的；
4) 撤銷訪問權限或中斷系統間連接的過程；
e) 安排報告、通告和調查信息的細節（例如私人信息），信息安全事故和安全漏洞。
f) 對各種服務的描述是可用的；
g) 服務的目標級別和服務的不可接收級別；
h) 監控的權限和撤銷，任何與組織機構資產相關的行為；
i) 組織機構和消費者之間各自的債務；
j) 法律事件的有關職責和怎樣確保立法需求滿足數據保護，特別應考慮不同國家的立法系統，若協議的運轉涉及到不同國家之間消費者；
k) 協作的工作受所有知識產權權利（IPRs）和版權保護。

7.2.3　MOA_OOA.3 處理同第三方協議相關的風險

7.2.3.1　管理保障控制組件控制

涉及第三方訪問組織機構信息處理設備的安排，應該基于正式簽定的合同，包括或參考所有符合組織機構安全策略及標準的安全要求。

7.2.3.2　管理保障控制組件注解

合同應沒有組織機構和第三方之間含糊的地方。組織機構應滿足供應商的賠償。合同條款可以考慮以下：
a) 信息安全策略；
b) 確保資產保護的控制，包括：
1) 保護組織機構資產的流程，包括信息、軟件和硬件；
2) 所有所需的物理保護控制和機制；
3) 對付惡意軟件的控制；
4) 保護組織機構資產的流程；
5) 確保在合同期滿或有效期間歸還或毀滅信息及資產；
6) 機密性，完整性，可用性和其它相關資產的屬性；
7) 拷貝和披露信息的限制以及使用保密協議；
c) 在方法、流程和安全上向用戶和管理員提供培訓；
d) 確保用戶具有對信息安全職責和問題的意識；
e) 適時調動員工的服務；
f) 硬件和軟件的安裝和維護相關的職責；
g) 一個很清楚的報告架構及統一的報告格式；
h) 清楚明白的變更管理程序；
i) 訪問控制策略，覆蓋：
1) 不同的原因，需求和利益導致了第三方存在的必要；
2) 可容許的訪問方法，以及唯一標識符如用戶ID及口令的使用及管理控制；
3) 用戶訪問及權限的授權過程；
4) 保存一份合法使用可用服務的個人的名單，以及他們的使用權限；
5) 聲明所有未被明確授權的存取都是禁止的；
6) 撤銷訪問權限或中斷系統間連接的過程；
j) 安排報告、通告和調查信息的細節（例如私人信息），信息安全事故和安全漏洞。
k) 在整個安全分類過程中提供一份產品或服務的描述；
l) 服務的目標級別和服務的不可接收級別；
m) 可驗證的績效準則的定義，其監控和匯報；
n) 監控和撤銷的權力，所有同組織機構資產相關的活動；
o) 在協議中定義審計職責的權力，審計合同責任的權限，或讓第三方執行這樣的審計；
p) 建立并擴大問題解決方法的程序；
q) 服務持續性要求，包括可靠性和可用性測量要與組織機構的商務屬性相一致；
r) 協議中應明確各部分的職責；
s) 法律事件的有關職責和怎樣確保立法需求滿足數據保護，特別應考慮不同國家的立法系統，若協議的運轉涉及到不同國家之間消費者；
t) 協作的工作受所有知識產權權利（IPRs）和版權保護；
u) 包含轉包商的第三方和這些轉包商需要實施的安全控制；
v) 續簽/終止協議的條件：
1) 任何一方在合同結束前期望終止關系時，應該具備意外事故實施計劃；
2) 如果組織結構的安全要求改變是否要續簽；
3) 現有的文件資產清單，執照，協議或相關的權力。